Funkar? Flashcards
(119 cards)
1
Q
Vad är syftet med dataskydd enligt EU?
A
Att skydda individens grundläggande rättigheter och friheter, särskilt rätten till privatliv.
2
Q
Vilket dokument är den centrala rättsakten i EU:s dataskydd?
A
GDPR (General Data Protection Regulation).
3
Q
Vilket år trädde GDPR i kraft?
A
2018.
4
Q
Vilken artikel i EU:s rättighetsstadga skyddar personuppgifter?
A
Artikel 8.
5
Q
Vad är personuppgifter enligt GDPR?
A
All information som kan identifiera en fysisk person.
6
Q
Vad menas med ‘behandling’ av personuppgifter?
A
Varje åtgärd som rör personuppgifter, t.ex. insamling, lagring, överföring.
7
Q
Vilken är skillnaden mellan personuppgiftsansvarig och personuppgiftsbiträde?
A
Den ansvarige bestämmer ändamål/medel; biträdet behandlar uppgifter för den ansvariges räkning.
8
Q
Vilka rättsliga grunder för behandling av personuppgifter finns i GDPR?
A
- Samtycke
- Avtal
- Rättslig förpliktelse
- Vitalt intresse
- Allmänt intresse
- Berättigat intresse.
9
Q
Vad innebär GDPR:s extraterritoriella räckvidd?
A
Att reglerna kan tillämpas på organisationer utanför EU som behandlar EU-medborgares data.
10
Q
Hur påverkar GDPR globala dataskyddsregler?
A
Det har blivit en modell för lagstiftning i andra länder.
11
Q
När började nationell dataskyddslagstiftning utvecklas i Europa?
A
Under 1970-talet.
12
Q
Vad är Konvention 108?
A
En europeisk konvention om skydd för individer vid automatisk databehandling.
13
Q
Vilket direktiv föregick GDPR?
A
Dataskyddsdirektivet 95/46/EG.
14
Q
Vad var målet med dataskyddsdirektivet 95/46/EG?
A
Att harmonisera skyddet för personuppgifter inom EU.
15
Q
Vilken organisation tog fram riktlinjer 1980 som påverkade dataskydd?
A
OECD.
16
Q
Vad var fokus i OECD:s riktlinjer?
A
Minimera intrång i privatlivet och främja informationsflöden över gränser.
17
Q
Hur påverkade teknologins utveckling dataskyddslagstiftning?
A
Ökade risker krävde starkare skydd.
18
Q
Hur skiljer sig GDPR från tidigare lagar?
A
Den är direkt tillämplig och mer heltäckande.
19
Q
Vilken roll spelar Europarådet i dataskyddets historia?
A
De antog Konvention 108.
20
Q
Vad är en viktig skillnad mellan EU:s och USA:s syn på dataskydd?
A
EU betraktar det som en grundläggande rättighet; USA som konsumentskydd.
21
Q
Vilken EU-institution föreslår ny lagstiftning, inklusive GDPR?
A
Europeiska kommissionen.
22
Q
Vilken institution beslutar om lagar tillsammans med rådet?
A
Europaparlamentet.
23
Q
Vad är EDPB?
A
European Data Protection Board, som samordnar tillämpningen av GDPR.
24
Q
Vad är nationella dataskyddsmyndigheters roll?
A
Övervaka efterlevnaden av GDPR i sina respektive länder.
25
Vad är one-stop-shop mekanismen?
Att ett företag med gränsöverskridande verksamhet har en huvudtillsynsmyndighet.
26
Vad gör EU-domstolen i dataskyddssammanhang?
Tolkar GDPR och kan ogiltigförklara överträdelser eller beslut.
27
Vilken roll har Europeiska rådet?
Sätter den politiska agendan, men lagstiftar inte direkt om dataskydd.
28
Vilka organ är ansvariga för tillsyn på EU-nivå?
EDPB och Europeiska datatillsynsmannen (EDPS).
29
Vad gör Europeiska datatillsynsmannen (EDPS)?
Övervakar EU-institutioners behandling av personuppgifter.
30
Hur säkerställs samordning mellan tillsynsmyndigheter?
Genom EDPB:s riktlinjer och beslutsprocesser.
31
Vad innebär GDPR:s materiella tillämpningsområde?
Det specificerar vilka typer av databehandling som omfattas av förordningen.
32
Gäller GDPR för anonymiserade data?
Nej, GDPR gäller endast personuppgifter.
33
Vad menas med pseudonymisering?
Behandling av personuppgifter på ett sätt så att de inte längre kan kopplas till en specifik person utan ytterligare information.
34
Vilka aktörer omfattas av GDPR:s territoriella tillämpning?
Organisationer inom EU samt organisationer utanför EU som riktar sig till eller övervakar EU-medborgare.
35
Hur påverkas företag utanför EU av GDPR?
Om de erbjuder varor/tjänster till eller övervakar individer i EU omfattas de av GDPR.
36
Vad innebär 'establishment' i GDPR-sammanhang?
En stabil anläggning inom EU där behandling av personuppgifter sker i samband med verksamheten.
37
När kan en databehandling utanför EU ändå omfattas av GDPR?
När syftet är att rikta tjänster mot eller övervaka individer i EU.
38
Vad är skillnaden mellan anonymisering och pseudonymisering?
Anonymisering är oåterkallelig, medan pseudonymisering kan återkopplas till individen med extra information.
39
Vad är 'monitoring behaviour' enligt GDPR?
Att följa individers aktiviteter inom EU, exempelvis via spårning online.
40
Vad är en dataskyddsrepresentant enligt artikel 27?
En företrädare som organisationer utanför EU måste utse om de omfattas av GDPR.
41
Vilka är de grundläggande principerna för dataskydd enligt GDPR?
* Laglighet
* Korrekthet
* Transparens
* Ändamålsbegränsning
* Uppgiftsminimering
* Riktighet
* Lagringsminimering
* Integritet
* Konfidentialitet.
42
Vad innebär ändamålsbegränsning?
Personuppgifter ska endast samlas in för specifika, uttryckliga och legitima ändamål.
43
Vad betyder uppgiftsminimering?
Endast nödvändiga uppgifter för det avsedda syftet får behandlas.
44
Vad är lagringsminimering?
Personuppgifter får inte lagras längre än nödvändigt.
45
Vad innebär principen om ansvarsskyldighet (accountability)?
Den personuppgiftsansvarige måste kunna visa att principerna följs.
46
Vad innebär korrekthet?
Uppgifter ska vara riktiga och uppdaterade.
47
Vad menas med transparens?
Den registrerade ska få tydlig information om hur deras uppgifter används.
48
Vad är integritet och konfidentialitet?
Uppgifterna ska skyddas mot obehörig eller olaglig behandling.
49
Kan en princip väga tyngre än en annan?
I vissa fall måste principerna balanseras mot varandra.
50
Vem bär det yttersta ansvaret för att principerna följs?
Den personuppgiftsansvarige.
51
Vilka är de rättsliga grunderna för behandling av personuppgifter enligt artikel 6?
* Samtycke
* Avtal
* Rättslig förpliktelse
* Vitalt intresse
* Uppgift av allmänt intresse
* Berättigat intresse.
52
Vad krävs för att samtycke ska vara giltigt?
Det ska vara frivilligt, specifikt, informerat och otvetydigt.
53
Kan samtycke återkallas?
Ja, när som helst och det måste vara lika lätt att dra tillbaka som att ge.
54
Vad är berättigat intresse?
Ett legitimt syfte för behandlingen som inte väger tyngre än den registrerades rättigheter.
55
Vad innebär nödvändig behandling för ett avtal?
Behandling som krävs för att fullgöra ett avtal med den registrerade.
56
När används grunden 'rättslig förpliktelse'?
När behandling krävs för att uppfylla lagkrav.
57
Vad är behandling av känsliga personuppgifter?
Exempelvis uppgifter om hälsa, religion, fackligt medlemskap.
58
När får känsliga uppgifter behandlas?
Endast om särskilda undantag i artikel 9 gäller, t.ex. uttryckligt samtycke eller allmänt intresse.
59
Vad är 'vitalt intresse'?
Behandling som krävs för att skydda liv eller hälsa.
60
När är behandling för allmänt intresse tillåten?
När det fastställts i unionsrätten eller nationell rätt.
61
Vilka är de registrerades rättigheter enligt GDPR?
* Rätt till information
* Tillgång
* Rättelse
* Radering
* Begränsning
* Dataportabilitet
* Invändning
* Automatiserade beslut.
62
Vad är rätten till tillgång?
Att få bekräftelse på om uppgifter behandlas och i så fall få tillgång till dem.
63
Vad är rätten till rättelse?
Att få felaktiga uppgifter rättade utan onödigt dröjsmål.
64
Vad är rätten till radering (rätten att bli bortglömd)?
Att få sina uppgifter raderade i vissa situationer, t.ex. om syftet inte längre finns.
65
När kan rätten till radering begränsas?
Om uppgifterna behövs för rättsliga krav, allmänintresse eller yttrandefrihet.
66
Vad är dataportabilitet?
Rätten att få ut sina uppgifter i ett strukturerat format och överföra dem till en annan tjänst.
67
Vad är rätten att invända?
Att motsätta sig behandling baserat på berättigat intresse eller direktmarknadsföring.
68
När har man rätt att inte bli föremål för automatiserat beslutsfattande?
Vid beslut med rättsverkan som uteslutande grundas på automatisk behandling.
69
Hur snabbt måste en begäran från en registrerad besvaras?
Inom en månad.
70
Får man ta betalt för att tillmötesgå en begäran?
I regel nej, men i vissa fall vid upprepade eller orimliga begäranden.
71
Vilket ansvar har personuppgiftsansvariga enligt GDPR?
Säkerställa att behandlingen följer lagstiftningen och kunna visa det (ansvarsskyldighet).
72
Vad är ett personuppgiftsbiträde?
En extern part som behandlar personuppgifter för den personuppgiftsansvariges räkning.
73
Vilket avtal krävs mellan personuppgiftsansvarig och personuppgiftsbiträde?
Ett personuppgiftsbiträdesavtal.
74
Vad måste ett biträdesavtal innehålla?
Instruktioner om behandlingen, sekretesskrav, säkerhetsåtgärder m.m.
75
Vad innebär 'data protection by design and by default'?
Integritetsskydd ska byggas in i system från början och standardinställningar ska skydda uppgifter.
76
Vad är en registerförteckning?
En dokumentation över alla behandlingar av personuppgifter.
77
När krävs en dataskyddsombud (DPO)?
Vid myndighetsbehandling, storskalig behandling eller känsliga uppgifter.
78
Vad har DPO:n för uppgifter?
Rådgivning, övervakning, utbildning och kontakt med tillsynsmyndighet.
79
Får en personuppgiftsansvarig och biträde använda samma DPO?
Ja, under vissa förutsättningar.
80
Vilka säkerhetsåtgärder krävs enligt GDPR?
Tekniska och organisatoriska, lämpliga i förhållande till risk.
81
När krävs en konsekvensbedömning (DPIA)?
Vid hög risk för den registrerades rättigheter, t.ex. profilering eller övervakning.
82
Vad ska en DPIA innehålla?
Beskrivning av behandling, bedömning av behov, risker och motåtgärder.
83
Vem ansvarar för att DPIA görs?
Den personuppgiftsansvarige.
84
När ska tillsynsmyndigheten konsulteras innan behandling?
Om DPIA visar på hög risk som inte kan åtgärdas.
85
Kan DPIA behöva uppdateras?
Ja, om riskerna eller behandlingen förändras.
86
Är DPIA ett engångskrav?
Nej, det kan krävas upprepade gånger vid ny behandling.
87
Vad är en tredjelandöverföring enligt GDPR?
När personuppgifter förs över till ett land utanför EU/EES.
88
När är en tredjelandöverföring tillåten?
Om EU-kommissionen beslutat att landet har adekvat skyddsnivå.
89
Vad är standardavtalsklausuler (SCC)?
Avtal som säkerställer lämpliga skyddsåtgärder vid överföring.
90
Vad är bindande företagsregler (BCR)?
Interna regler som tillåter koncernöverföring av uppgifter.
91
Vad är nödvändiga överföringar?
Överföring som krävs för avtal eller rättsliga krav.
92
Vad måste den registrerade informeras om vid tredjelandöverföring?
Mottagarlandet, skyddsåtgärder och risker.
93
Vad blev konsekvensen av Schrems II-domen?
Privacy Shield ogiltigförklarades; ökad krav på bedömning vid SCC.
94
Vad är en tillsynsmyndighet?
Nationell myndighet som övervakar tillämpningen av GDPR.
95
Vilka befogenheter har tillsynsmyndigheter?
* Undersöka
* Varning
* Beordra rättelser
* Förbjuda behandling
* Utdöma böter.
96
Vad är det Europeiska dataskyddsstyrelsen (EDPB)?
Ett EU-organ som koordinerar tillämpningen av GDPR.
97
Hur fungerar principen om 'one-stop shop'?
Företag med gränsöverskridande behandling har en ledande tillsynsmyndighet.
98
När kan böter utdömas?
Vid allvarliga överträdelser, t.ex. utan rättslig grund eller bristande säkerhet.
99
Vad är maxbeloppet för administrativa sanktionsavgifter?
20 miljoner euro eller 4 % av global omsättning.
100
Vilka rättsmedel har en registrerad?
* Klagomål till tillsynsmyndighet
* Rättsliga åtgärder
* Skadestånd.
101
Vad är den personuppgiftsansvariges ansvar vid skada?
De är ansvariga för all skada som orsakas av behandling som bryter mot GDPR.
102
Kan både personuppgiftsansvarig och biträde vara ansvariga?
Ja, gemensamt och solidariskt ansvar vid medverkan.
103
Vad krävs för att slippa ansvar?
Kunna visa att man inte är ansvarig för den händelse som orsakade skadan.
104
När gäller särskilda regler enligt kapitel 13?
För arbetsgivare, forskare och andra specifika situationer.
105
Vad ansvarar personuppgiftsansvariga för vid skada?
All skada som orsakas av behandling som bryter mot GDPR
## Footnote
Personuppgiftsansvariga har ett juridiskt ansvar för eventuell skada som uppstår vid otillåten behandling av personuppgifter.
106
Kan både personuppgiftsansvarig och biträde vara ansvariga?
Ja, gemensamt och solidariskt ansvar vid medverkan
## Footnote
Både parter kan hållas ansvariga om de samarbetar i behandlingen av personuppgifter.
107
Vad krävs för att slippa ansvar?
Kunna visa att man inte är ansvarig för den händelse som orsakade skadan
## Footnote
Detta kan inkludera bevis på att man följt alla nödvändiga lagar och regler.
108
När gäller särskilda regler enligt kapitel 13?
För arbetsgivare, forskningsprojekt, arkivering, journalistik och offentlig sektor
## Footnote
Dessa specifika situationer kräver särskild behandling av personuppgifter.
109
Hur behandlas uppgifter i arbetslivet?
Med särskild hänsyn till maktbalansen och frivillighet
## Footnote
Det är viktigt att behandlingen av personuppgifter i arbetslivet tar hänsyn till den ojämlikhet som kan finnas mellan arbetsgivare och anställda.
110
Vad gäller för forskning och statistik?
Uppgifter får användas om lämpliga skyddsåtgärder vidtas
## Footnote
Forskning måste alltid ske med respekt för individers rättigheter och integritet.
111
Vad innebär undantag för journalistiskt syfte?
Yttrandefrihet väger tyngre i vissa fall
## Footnote
Detta kan innebära att journalistik kan utföras även om den inkräktar på individers personuppgifter, under vissa förutsättningar.
112
Hur förhåller sig GDPR till annan lagstiftning?
GDPR har företräde men medlemsstater kan ha kompletterande regler
## Footnote
Detta innebär att nationella lagar kan finnas, men de får inte strida mot GDPR.
113
Vilka exempel finns på andra relevanta lagar?
Straffrätt, arbetsrätt, konsumentskydd, ePrivacy-förordningen
## Footnote
Dessa lagar kan påverka hur GDPR tillämpas och efterlevs.
114
Får medlemsländer införa egna undantag?
Ja, under vissa villkor och inom begränsade områden
## Footnote
Detta kan leda till variationer i hur GDPR tillämpas i olika medlemsländer.
115
Vilka är viktiga praktiska steg för efterlevnad av GDPR?
Kartläggning av data, riskbedömningar, avtal, utbildning, rutiner för incidenter
## Footnote
Dessa steg är avgörande för att säkerställa att en organisation följer GDPR.
116
Vad är en dataskyddspolicy?
Dokumentation av hur en organisation följer GDPR
## Footnote
Policyn bör vara tillgänglig och tydlig för både anställda och externa parter.
117
Hur ofta bör utbildning genomföras?
Regelbundet, beroende på roll och risknivå
## Footnote
Utbildningen bör anpassas efter de specifika behov som olika roller inom organisationen har.
118
Varför är dokumentation viktig?
För att visa efterlevnad (accountability)
## Footnote
Dokumentation är avgörande för att kunna bevisa att man följer lagstiftningen.
119
Vad är Privacy by Design och Default i praktiken?
Exempelvis minimera datainsamling och ha kryptering aktiverad som standard
## Footnote
Detta innebär att integritet och dataskydd ska vara inbyggda i systemet från början.
